Saltar al contenido

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/customer/help/es-es/index.html?contextId=detection-rules

Reglas de detección

Las reglas de detección le permiten especificar cómo gestionamos las detecciones de amenazas.

Debe ser superadministrador para utilizar esta función.

Nota

Actualmente, solo se pueden utilizar reglas de detección para suprimir detecciones no deseadas.

Suprimir detecciones

Puede que necesite suprimir detecciones que sean falsos positivos o se repitan con demasiada frecuencia. Puede crear reglas para ello.

Las reglas pueden impedir que las detecciones que coincidan con una regla:

  • Aparezcan en la lista de la página Detecciones.
  • Generen casos para ser investigadas más a fondo.

Las reglas pueden suprimir los casos de XDR que gestionan los clientes. No pueden suprimir los casos de MDR.

Crear una regla de detección

Puede crear una regla a partir de una detección existente, de la siguiente manera:

  1. Vaya a Centro de análisis de amenazas > Detecciones.

  2. Haga clic en los tres puntos Icono de tres puntos. situados junto al nombre de una detección de la lista y seleccione Añadir regla de detección.

    Menú que muestra "Añadir regla de detección".

  3. En la configuración de la regla de detección, haga lo siguiente:

    1. En Detalles de la regla, introduzca un nombre y una descripción para la regla. Por defecto, la regla está "activada".

    2. En Acciones, seleccione la acción que desea realizar en las detecciones.

      Actualmente, solo puede seleccionar Suprimir. Esto impide que las detecciones se muestren en la lista de detecciones y que se generen casos.

    Detalles de la regla de detección y acciones.

  4. En Condiciones, se muestran las características de la amenaza detectada, por ejemplo la gravedad. Seleccione las características que desea utilizar como condiciones para activar la regla.

    Condiciones que pueden activar una regla.

  5. Haga clic en Guardar.

Una nueva regla de detección puede tardar 20 minutos en aplicarse.

Una regla solo se aplica a las detecciones que se producen después de haber creado la regla.

Activar o desactivar reglas de detección

Para activar o desactivar las reglas de detección, haga lo siguiente:

  1. Vaya a Centro de análisis de amenazas > Reglas de detección.
  2. Haga clic en el nombre de una regla de detección para ver sus detalles.

  3. En Detalles de la regla, haga clic en el botón para activar o desactivar la regla.

    Regla de detección activada.

Duplicar y editar reglas de detección

No puede realizar cambios en una regla existente.

Puede duplicar una regla y realizar cambios en el duplicado, como se indica a continuación:

  1. Vaya a Centro de análisis de amenazas > Reglas de detección.
  2. Busque la regla y haga clic en los tres puntos Icono de tres puntos. de la columna de la derecha.

  3. Seleccione Duplicar.

    Verá una nueva regla con las mismas condiciones y acciones que había seleccionado para la regla original.

  4. Indique un nombre y una descripción para la regla nueva.

  5. Marque o desmarque las casillas de verificación situadas junto a las condiciones para editar la regla.
  6. Haga clic en Guardar.

Eliminar reglas de detección

Para eliminar reglas, haga lo siguiente:

  1. Vaya a Centro de análisis de amenazas > Reglas de detección.
  2. Busque la regla y haga clic en los tres puntos Icono de tres puntos. de la columna de la derecha.
  3. Seleccione Eliminar.

Ver detecciones suprimidas

Por defecto, las detecciones que haya suprimido no se muestran en la página Detecciones.

Si desea ver las detecciones suprimidas, haga lo siguiente:

  1. Vaya a Centro de análisis de amenazas > Detecciones.
  2. Haga clic en Mostrar filtros encima de la lista de detecciones.

  3. En Visibilidad de detecciones, desactive la casilla Ocultar detecciones suprimidas.

    Filtro "Ocultar detecciones suprimidas".

  4. Haga clic en Aplicar.